关键漏洞信息 1. Result File Path Normalization 问题: API未验证上传的结果文件路径是否为绝对路径或包含任何'..'组件。 影响: 由于某些S3服务器(如Minio和CEPH)不允许在路径中使用'..',且代理在下载具有绝对路径的文件时会崩溃,因此该问题不可利用。 修复: Thorium现在将验证并拒绝任何绝对路径或包含仅由'.'组成的组件的路径。 2. LDAP Injection 问题: Thorium未对发送到LDAP的用户控制字符串进行转义。 影响: 允许攻击者执行LDAP注入,如果他们可以向组添加元组。要执行此攻击,攻击者需要修改组权限的权限。 修复: Thorium现在正确地对LDAP中的用户控制字符串进行转义。 3. Spam Verification Emails For Unverified Users 问题: Thorium不限制未验证用户重新发送验证电子邮件的频率。 影响: 攻击者可以通过已知用户名向未验证电子邮件的用户发送垃圾邮件。 修复: 现在允许管理员设置速率限制值,默认情况下每10分钟只允许重新发送一次电子邮件。 4. Token Not Rotating When Resetting Passwords 问题: 在更新用户密码时,Thorium生成新令牌但未保存它。 影响: 如果用户因密码或令牌泄露而更新密码,Thorium无法正确删除所有先前的访问权限。 修复: Thorium现在在密码更新时保存新令牌。 5. Disabled TLS Verification To Elasticsearch 问题: Thorium不允许用户配置如何验证Elasticsearch使用的证书,并默认不验证它。 修复: 现在可以配置此选项。 6. Divide By Zero When Getting Streams 问题: 如果用户在获取流时设置分割为0,请求会因除以零错误而崩溃。 修复: 通过要求NonZeroU64而不是u64来解决此问题。